これまで静かに憂慮されてきた論点が、昨日の衆議院総務委員会での答弁で、曲解された形で披露されるに至り、もはや座視できない危険水域に達していることが明らかとなった。
昨年の個人情報保護法改正で誕生した「匿名加工情報」は、その定義の解釈を巡って、今もこの分野の研究者の間で憂慮され続けている論点が残っている。それは、匿名加工情報が個人情報に該当しないとされる理由に、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」とする理屈が、政府見解の一部として出てくることの問題である。この理屈がどう不味いのか、昨年の情報ネットワーク法学会での発表*1に続き、今年2月19日に、情報処理学会EIP研究会での発表があった。
この論文(研究会報告)は、「容易照合性包含説」と「容易照合性非勘案説」に分けた上で、前者を、「政府説1(法的禁止説)」と「政府説2(立案担当者説)」に分けて比較し、政府説2の方がベターだが、政府説2でも問題が残ると指摘している。
論点は、匿名加工情報の定義にある「特定の個人を識別することができないように」の解釈について、他の情報と照合することによる識別の可否を含むのか否かについて、まずは含む(「容易照合性包含説」*2)とした上で、政府説1が、「安全管理措置義務(法36条2項)と識別行為禁止義務(法36条5項)という法的義務規定が法文上存在していることをもって照合することができないと結論付け、容易照合性の問題は生じないという主張をしている」とし、これには次の問題があると指摘する。
仮に、政府説1に沿って容易照合性を解するとなると、禁止義務が法文上存在さえしていれば容易照合性の問題が生じず、特定個人の識別性も排除できることになる。そうすると、データに何らの加工を施す必要がなくなるから匿名加工情報の作成に関する条文すら不要となってしまい、匿名加工情報の措置(法2条9項1号)や加工基準(法36条1項)といった規定が存在していることと相反する。
また、突合の問題に配慮されていない状態の匿名加工情報の流通を許せば、禁止義務の存在を知りながら識別行為を試みる不正も起こり得るという実務的な懸念もある。
ゆえに、容易照合性を論じるにあたっては、法的義務が存在していることと、対象となるデータが性質上突合できる状態にあること、という両者はそれぞれ分けて検討すべきであろう[5]。
政府説1に関する記述については、引用資料における扱いが本文ではなく欄外のコラムに過ぎない点、改正案への具体的批判などが展開される前に初期の国会で発言されたものに過ぎない点を考慮すると、立案担当者らの本来の意図はむしろ政府説2にあるといえそうである。
藤村明子, 間形文彦, 亀石久美子, 板倉陽一郎, 匿名加工情報及び個人情報における容易照合性概念の整合性に関する考察, 情報処理学会研究報告, Vol.2016-EIP-71, No.3, 2016年2月
ここに問題があることは、私も、2015年3月の情報法制研究会第1回シンポジウムと、6月の第2回シンポジウムで提起しており、要するに、「「してはならない」との規定によって「できるもの」該当性が否定されるというのは、法技術論的にありえない。」ということを指摘していた(資料p.12)。前掲の藤村らの論文では、「法的義務が存在していることと、対象となるデータが性質上突合できる状態にあること、という両者はそれぞれ分けて検討すべき」と指摘している。
この論点は、これまでに、「匿名加工情報は何でないか・中編(保護法改正はどうなった その3)」で少し触れつつ、以下の通り予告していたように、「匿名加工情報は何でないか・後編」で結論的な提言を書くつもりだった。
これをどう理解するか。「匿名加工情報にすれば(容易照合性が否定されて)個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される(改正後36条5項)ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。
当時、何人もの有識者(私が知る限り少なくとも5人)がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。
一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。
匿名加工情報は何でないか・中編(保護法改正はどうなった その3), 2016年1月31日の日記
ところが、ここに来て、この論点が新たな局面を迎えることとなった。今国会に提出された行政機関個人情報保護法の改正案について、昨日、衆議院総務委員会で質問があり、答弁に立った行政管理局が、この論点に関わる明らかに間違った答弁をしたのである。
(総務省行政管理局長の答弁より要約)
「非識別加工情報」は、元の個人情報から氏名、住所を削除する、あるいはデータを入れ替えして作成するものであるが、元になったデータは、「非識別加工情報」を作った後においても、行政機関において保有されることになっている。また、「非識別加工情報」は行政機関においては、照合を行う必要がある場合もあり得る。したがって、他の情報と「非識別加工情報」と照合を禁止するという規定は置いていない。そうすると、これは理論上、行政機関の内部においては、「非識別加工情報」はこの作成の元となったデータと照合することは可能であるので、個人情報に該当することになる。
他方、個人情報保護法における「匿名加工情報」は、個人情報に該当しないということになっており、この2者を区別する必要がある。そのために別の名称「非識別加工情報」という名称を付しているというわけである。
他に混乱が生じないかとのことだが、他方、行政機関から外に出て行った場合は、民間事業者に提供された場合は、受け取る側の民間事業者にとっては、個人情報保護法が一律に適用になることになる。したがって、この情報は民間事業者が受け取った段階で「匿名加工情報」となる。したがって、個人情報保護法の規定に沿い照合禁止の義務もかかるので、他のデータと照合することはできない。民間事業者にとっては、法運用は統一されているので、混乱は生じない仕組みとなっておると考えている。
これは、3月6日の日記の脚注5で書いていた悪い予感(前回の日記の「残る瑣末な論点」の2つ目参照)が的中してしまったものだ。
つまり、行政機関等パーソナルデータ研究会の最終報告書で書かれていた、行政機関法では匿名加工情報が個人情報に当たるとする理由の、「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」という部分*3が、てっきり、個人情報定義の「容易に」の有無の違いからくる意味で言っているものと思いきや(前回の日記参照)、そうではなく、「他の情報と照合を禁止する規定を置いていないから」との理由であることが、この国会答弁で初めて明るみになった。
これが「明らかに間違った答弁」であることを、書いておかねばならない。
この答弁は、論理が一部省略されているので解りにくいかもしれないが、「他方、個人情報保護法における「匿名加工情報」は、個人情報に該当しないということになっており」というのが、要するに、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という前提を置いているということだろう。それに対して行政機関法には「照合を禁止するという規定は置いていない」ことから、その違いによって、行政機関法では匿名加工情報が個人情報になってしまうと言っている。
この論理展開自体もおかしいが、それはともかくとして、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という前提には、前掲の通り研究者からの批判がある。
研究者からの批判は、再識別禁止の法的義務とデータが性質上突合できる状態にあることは別だというものだが、ここでは百歩譲って、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」という理屈を、正しいものと仮定しよう。
「後編」で書くつもりだったが、この理屈が必要とされるのは、匿名加工情報の提供を受けた匿名加工情報取扱事業者において、受け取った匿名加工情報が、もし、元々保有している自社内の様々な個人情報と容易に照合することによって個人情報となってしまうなら、この制度の意味がなくなってしまうことに端を発する。ここに何らかの手当てをしなければならないのは確かであろう。個人情報保護法38条の「識別行為の禁止」規定が置かれたことによって、そこを気にしなくてよいとするのが、政府見解の本来の趣旨であったはずだ。
ところが、これが、匿名加工情報を作成した個人情報取扱事業者が、自社内で目的外利用するために、この制度を使おうという話が途中から出てきて*4、話がおかしくなり始めた。昨年3月の国会答弁で初めて表に出てきたこの解釈は、以下のものであった。
○高井分科員 (略)今度は、容易照合性という問題について、ちょっと専門的な話ばかりで大変恐縮なんですが。
今、現行法では、それ単体で個人情報とは言えないデータでも、他の情報と容易に照合することができて、それによって特定の個人を識別することができるものは個人情報に含まれるんだと。つまり、容易に照合できてしまえば個人情報になってしまう。
それは、例えば、個人情報のデータベースと、それから匿名加工した情報のデータベース、二つ分けて置いているんですけれども、実際に一人の人間がこれにアクセスするということは、企業であればあると思うんですね。やはり、もともと同じデータベースから端を発しているものですから、これが、一人の人でもアクセスしたら、それは容易に照合できることになるから、これは全て個人情報にみなされてしまうと、では、それを分けるために会社は担当者を二人置かなきゃいけないとか、非常に煩雑なことになると思うんですが、このあたりはいかがでしょうか。
○向井政府参考人 お答えいたします。
匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。
したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。
したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。
質問者の高井分科員は、質問の趣旨を明確にしていない*5が、今から思うと、これは、個人情報取扱事業者が、自社内で目的外利用をするために匿名加工情報の制度を使うときに問題となることについて質問したもの*6だったのだろう。答弁に立った向井審議官は、その前提で答えており、「作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められない」としていた。
この解釈が、昨日の行政管理局の答弁の前提に使われているのだろう。
だが、条文をよく見てほしい。匿名加工情報を作成した個人情報取扱事業者自身による「識別行為の禁止」(36条5項)は、以下の規定となっている。
(匿名加工情報の作成等)
第36条
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
そう、答弁では「作成に用いた個人情報と照合することが禁止されておりますので」と口にされていたが、条文では、「自ら当該匿名加工情報を取り扱うに当たっては」*7と、場面の限定付きなのである。*8
つまり、それ以外の場面では、自社内での元データとの照合は禁止されていないのであり、例えば、匿名加工情報を第三者に提供するときは、提供元において元データとの照合は禁止されないまま提供されるのである。(実質論としても、第三者提供時に元データとの照合を禁止しようが、しまいが、本人の権利利益への影響に違いはない。提供されるデータは同一なのだから。)
このことと、匿名加工情報を本人同意なく第三者に提供できる(特別の許可規定がないにもかかわらず*9)のが、提供される匿名加工情報が提供元において(提供元基準)個人情報に該当しないからとされていること、この2点を合わせて導かれる帰結は、匿名加工情報は常に提供元において加工の元データと照合しようとしても照合できないレベルに丸め加工がされる(匿名加工情報の加工基準がそのように規定される)ことが前提となっているということだ。
そうすると、昨日の行政管理局の国会答弁が前提としている、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という見解は、単純に間違いだということがわかる。再識別禁止の義務が提供元にかかるのは、自ら利用する場合だけであり、それとは関係なく、匿名加工情報は個人情報でないのである。
行政管理局は、「行政機関法では作成した匿名加工情報の他の情報との照合を禁止する規定を置いていないから」云々と言っているが、民間部門においても(匿名加工情報の提供に際して)そのような規定はないのである。
去年の向井答弁「匿名加工情報は作成に用いた個人情報と照合することが禁止されておりますので」が、前提を省略して話したものであったにもかかわらず、その文脈に気づかない人たちによってこれを拡大解釈され、その結果、行政機関法の改正において、法案の立案に重大な狂いが生じてしまったということのようだ。
そもそも、行政機関法が、作成した匿名加工情報を他の情報と照合することを禁止する規定を置いていないのは、行政機関法では、去年の民間部門のときのように、自社内(自機関内)で目的外利用するために匿名加工情報の制度を用いる気など端からなかったからだろう。
昨日の答弁で、行政管理局が「「非識別加工情報」は行政機関においては、照合を行う必要がある場合もあり得る。したがって、他の情報と「非識別加工情報」と照合を禁止するという規定は置いていない。」と述べたのは、後付けで辻褄合わせのために作り出した虚偽の理由だろう。いったい、どういうときに、匿名加工情報を元データと照合する必要があるのか。そして、それがなぜ民間部門では必要とされず、行政機関だけで必要だというのだろうか。
昨日の答弁では、こんな発言もあった。
恐縮でございますが、ちょっと個人情報保護法の解釈はちょっと私はよく存じ上げておりませんけども、
これには椅子から転げ落ちた。個人情報保護法の解釈をよく知らないと言って憚らない人たちが、行政機関個人情報保護法を改正するというのだ。
思えば、これまでに、行政機関パーソナルデータについて、2年弱にわたってウォッチしてきたが、行政管理局の言うことは徹頭徹尾出鱈目だった。なぜ外部の話を聞こうともせず事を進めるのだろうか。日本の法律がこんなにも杜撰な形で作られていくとは、嘆かわしくて涙が出る。
*1 藤村明子, 間形文彦, 匿名加工情報における「特定の個人を識別することができない」容易照合性について, 情報ネットワーク法学会第15回研究大会予稿集, 2015年11月
*2 「改正法2条9項柱書の文言中に改正法2条1項1号の括弧書きに相当する記述がないのは、単に文言が省略されているに過ぎず、改正法2条9項1号の匿名加工情報が「特定の個人を識別することができない」かどうかを判断する場合においても当然に容易照合性を考慮に入れることが相当であるという見解」(p.2)とされている。
*3 以下の強調部分のこと。
なお、行政機関等が作成する匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものであるが、加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから、行政機関個人情報保護法・独法等個人情報保護法の個人情報に当たるものであると考えられる。
行政機関等が保有するパーソナルデータに関する研究会, 行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 2016年3月7日, 13頁
*4 日経IT Pro, 「個人情報保護法改正案、「匿名加工情報」は社内利用にも適用」(2015年3月27日)参照。
*5 最初に読んだときは、Q14問題の一般論についての質問かと思い、匿名加工情報の自社内目的外利用の話だとは思わなかった。改めてよく見ると、「匿名加工した情報のデータベース」とあり、匿名加工情報に関する質問であることは示されていた。
*6 おそらく、匿名加工情報の自社内目的外利用を法案に入れ込んだ事業者の人たちからの要望による質問ではないか。
*7 「自ら当該匿名加工情報を取り扱う」の意義については、立案担当者らによる公式的な解説書(瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, 2015年12月)において、Q27とQ29で次のように書かれているように、「自らこれを取り扱う」とは、「自社内で利用すること」を指している。Q29の回答にある「自らが当該匿名加工情報を取り扱う場合であっても」との文から、これが第三者提供を含まない意味であることは明らかであろう。
Q27 匿名加工情報は、どのような利用が想定されていますか。また、作成した匿名加工情報は、自社内で利用することはできますか。
A (略)また、匿名加工情報が基本的に個人の権利利益を侵害することがないという性質を有するものであることから、匿名加工情報を作成した個人情報取扱事業者(以下、「事業者」といいます。)が、自らこれを取り扱うことも認めています(注1)。これにより、事業者は、その取得した個人情報を匿名加工情報に加工し、第36条に規定する一定の規律(注2)に則りつつ、個人情報に比べて緩やかな規律の下で自社内でも利用することができます。
瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, p.47
Q29 匿名加工情報を作成の元となった個人情報に戻すことは認められていますか。
A (略)また、この匿名加工情報は、これを作成した個人情報取扱事業者が自ら利活用することを制限していません(Q27参照)。そこで、匿名加工情報を作成した個人情報取扱事業者自らが当該匿名加工情報を取り扱う場合であっても、匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合することを禁止することとしました(注)。
瓜生和久編著, 一問一答 平成27年改正個人情報保護法, 商事法務, p.47
*8 質問もその場面についての問いだったのだから、答弁ではこの限定を省略して答えたものとみるべきだろう。
*9 2015年12月6日の日記「匿名加工情報は何でないか・前編」の「匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった」参照。